В мае 2026 года команда nginx и компания F5 раскрыли семь уязвимостей в веб-сервере nginx — одном из самых распространённых компонентов веб-инфраструктуры в мире. 1С-Битрикс выпустил обновлённый пакет bx-nginx 1.30.2 для виртуальной машины VMBitrix. Пакет включает патчи для всех семи уязвимостей nginx, в том числе двух критических — NGINX Rift (CVE-2026-42945) и CVE-2026-9256 («nginx-poolslip»), для первой из которых в открытом доступе уже есть рабочий эксплойт.
Кратко: если вы используете виртуальную машину VMBitrix — обновите bx-nginx до 1.30.2 в ближайшие часы. Для NGINX Rift опубликован эксплойт с обходом ASLR, попытки эксплуатации уже зафиксированы исследователями безопасности.
Что произошло
Недавно команда nginx и компания F5 опубликовали скоординированное раскрытие шести уязвимостей в nginx Open Source и nginx Plus и одновременно выпустили исправленные версии nginx 1.30.1 (stable) и 1.31.0 (mainline). 22 мая в рамках того же процесса была раскрыта и исправлена седьмая уязвимость (nginx 1.31.1).
Среди них — NGINX Rift (CVE-2026-42945), heap-уязвимость в модуле rewrite, обнаруженная исследовательской командой depthfirst. Уязвимость существовала в коде с 2008 года и присутствует во всех версиях nginx Open Source от 0.6.27 до 1.30.0. nginx — один из самых распространённых веб-серверов в мире, поэтому майский батч затрагивает значительную часть его инсталляций, включая сборки nginx, используемые в продуктах 1С-Битрикс. 1С-Битрикс пересобрал nginx с патчами и протестировал в составе VMBitrix, обновление bx-nginx 1.30.2 опубликовано 25 мая.
Устраняемые уязвимости
|
CVE |
Класс |
CVSS |
Кем обнаружено |
|
CVE-2026-42945(NGINX Rift) |
Heap buffer overflow в ngx_http_rewrite_module; потенциальный неаутентифицированный RCE |
9.2 (v4) / 8.1 (v3.1) |
depthfirst / F5 |
|
CVE-2026-9256(nginx-poolslip) |
Heap buffer overflow в ngx_http_rewrite_module при overlapping PCRE captures; потенциальный RCE |
По шкале nginx — medium |
Mufeed VH (Winfunc Research) |
|
CVE-2026-42926 |
HTTP/2 request injection через proxy_set_body при proxy_http_version 2 |
Medium |
Mufeed VH (Winfunc Research) |
|
CVE-2026-40701 |
Use-after-free в ngx_http_ssl_module при ssl_ocsp |
Medium |
Leo Lin |
|
CVE-2026-42946 |
Buffer overread в ngx_http_uwsgi_module и ngx_http_scgi_module |
8.3 (v4) |
F5 |
|
CVE-2026-42934 |
Buffer overread в ngx_http_charset_module при UTF-8 в charset_map |
Low |
F5 |
|
CVE-2026-40460 |
Address spoofing в HTTP/3 при QUIC connection migration |
Medium |
Rodrigo Laneth |
Команда nginx классифицирует CVE-2026-42945 как severity medium, однако F5, исследователи depthfirst и независимые аналитики (Cloud Security Alliance, Orca Security, Qualys) присваивают этой уязвимости CVSS v4 9.2 — «critical». 1С-Битрикс ориентируется на оценку F5 и внешних исследователей и относит её к критическим.
Кого касается
Обновление применимо к инсталляциям, использующим VMBitrix — официальную виртуальную машину 1С-Битрикс, в составе которой поставляется веб-сервер nginx. Уязвимости nginx затрагивают сценарии, в которых соответствующие модули активны в конфигурации (rewrite, proxy_set_body над HTTP/2, ssl_ocsp, charset_map, HTTP/3, uwsgi/scgi-проксирование). Большинство стандартных конфигураций VMBitrix как минимум использует rewrite-модуль и потенциально уязвимо к NGINX Rift.
Облачный Битрикс24 и инфраструктура 1С-Битрикс на стороне компании обновлены отдельно, до публикации этих рекомендаций.
Если в вашей инфраструктуре nginx используется не только в составе VMBitrix, но и в других контурах — эти инсталляции необходимо обновлять отдельно, в рамках обновлений соответствующих производителей.
Что делать
Для защиты VMBitrix добавьте файл для репозитория исходных версий /etc/yum.repos.d/bitrix-source-9.repo с содержимым:
[bitrix-source-9]name=Bitrix Packages Source for Enterprise Linux 9 - x86_64baseurl=https://repo.bitrix24.tech/dnf/SRPMSenabled=1gpgcheck=1priority=1failovermethod=prioritygpgkey=https://repo.bitrix24.tech/dnf/RPM-GPG-KEY-BitrixEnv-9
Убедимся что есть пакеты dnf-utils и yum-utils:
dnf clean all && dnf install -y dnf-utils yum-utils
Скачиваем исходники: bx-nginx:
yumdownloader --source bx-nginx
Примерный ответ в консоли:
[root@localhost ~]# yumdownloader --source bx-nginxenabling epel-source repositoryenabling epel-cisco-openh264-source repositoryenabling baseos-source repositoryenabling appstream-source repositoryenabling crb-source repositoryenabling extras-source repositoryExtra Packages for Enterprise Linux 9 - x86_64 - Source 2.4 MB/s | 4.3 MB 00:01Rocky Linux 9 - BaseOS - Source 429 kB/s | 423 kB 00:00Rocky Linux 9 - AppStream - Source 280 kB/s | 945 kB 00:03Rocky Linux 9 - CRB - Source 116 kB/s | 139 kB 00:01Rocky Linux 9 - Extras Source 10 kB/s | 14 kB 00:01bx-nginx-1.30.2-0.el9.src.rpm 4.6 MB/s | 118 MB 00:25[root@localhost ~]#
Не откладывайте обновление. Для NGINX Rift в открытом доступе есть эксплойт с обходом ASLR; попытки эксплуатации зафиксированы исследователями безопасности.
ссылка на оригинал статьи https://habr.com/ru/articles/1039832/